1) р1 = 1 и рг = р*— — ^ при 2 ^ г ^ п;
2) adp®(а,в,7) = Рг ^^ тройка (а, в, 7) получается из тройки (0, 2п-г, 2п-г) композицией следующих преобразований, сохраняющих значение adp® [8]:
а) перестановка элементов тройки;
б) (а, в, 7) ^ (а 0 2п-1,в 0 2га-1,7);
в) (а, в, 7) ^ (±а, ±в, ±7), где ±а обозначает а или —а mod 2П. Замечание 1. Если adp®(а,в,7) = Рг для 1 ^ г ^ п из теоремы 2, то
adp®(а,в,7) ^ 1/4.
Из теоремы 2 нетрудно получить количество разностей, на которых достигаются данные максимальные значения. Обозначим количество разностей (а,в,7), а,в,7 Е Е Zn, на которых достигается adp®(a,e,7) = Pi, как Cj. Следствие 2. Для Ci верны следующие утверждения:
- Ci = 4, C2 = 24;
— C3 = C4 = ... = Cn = 48.
ЛИТЕРАТУРА
1. Shimizu A. and Miyaguchi S. Fast data encipherment algorithm FEAL // LNCS. 1988. V. 304. P. 267-278.
2. Wheeler D. J. and Needham R. M. TEA, a tiny encryption algorithm // LNCS. 1995. V. 1008. P. 363-366.
3. Bernstein D. J. Salsa20 specification. eSTREAM Project algorithm description. http://www. ecrypt.eu.org/stream/salsa20pf.html. 2005.
4. Beaulieu R., Shors D, Smith J, et al. The SIMON and SPECK Families of Lightweight Block Ciphers. https://eprint.iacr.org/2013/404.
5. Biham E. and Shamir A. Differential cryptanalysis of DES-like cryptosystems //J. Cryptology. 1991. No. 4. P. 3-72.
6. Mouha N., Velichkov V., De Canniere C., and Preneel B. The differential analysis of S-func-tions // LNCS. 2011. V. 6544. P. 36-56.
7. Lipmaa H. and Moriai S. Efficient algorithms for computing differential properties of addition // LNCS. 2002. V. 2355. P. 336-350.
8. Mouha N., Kolomeec N., Akhtiamov D., et al. Maximums of the additive differential probability of Exclusive-Or // IACR Trans. Symmetric Cryptology. 2021. No. 2. P. 292-313.
УДК 519.7 DOI 10.17223/2226308X/15/15
НЕКОТОРЫЕ УСЛОВИЯ ПРИМЕНИМОСТИ ИНТЕГРАЛЬНОГО МЕТОДА К ЧЕТЫРЁМ РАУНДАМ AES-ПОДОБНЫХ АЛГОРИТМОВ
К. Н. Панков
Получен ряд необходимых и одно достаточное условие того, что к блочным алгоритмам, построенным аналогично алгоритму AES (например, SQUARE, Rijndael, Crypton) с уменьшенным до четырёх числом раундов может быть применён интегральный метод криптоанализа. Приведены данные экспериментов о применении интегрального метода к алгоритму Rijndael.
Ключевые слова: блочные алгоритмы, AES, SQUARE, Rijndael, Crypton, спектральные коэффициенты, интегральный метод.
Современное состояние систем защиты информации характеризуется наличием так называемого квантового вызова. Появление квантового компьютера с соответствующим набором характеристик, которые, согласно мнению ряда экспертов, будут достигнуты в ближайшее десятилетие, приведёт к потере некоторыми существующими системами защиты информации или отдельными их элементами своего практического значения. Таким образом, актуальной становится задача разработки, исследования и программно-аппаратной реализации криптографических примитивов, которые смогут противостоять квантовому вызову. В настоящее время существует несколько подходов к решению данной проблемы, одним из которых является использование симметричных криптографических систем, стойкость которых понизится с появлением гипотетического квантового вычислителя незначительно. Поэтому продолжает оставаться актуальным вопрос об оценке криптографической стойкости симметричных шифр-систем, применяемых как в современных информационно-телекоммуникационных системах, так и в системах интернета вещей (IoT). Отметим, что, согласно информации, приведённой в [1, 2], в условиях ограниченных ресурсов в системах IoT наиболее рационально использовать алгоритмы блочного шифрования. В соответствии с [3] одним из основных методов криптоанализа подобных алгоритмов является интегральный метод.
Интегральный метод, впервые названный так в [4], предложен в работе [5] и является развитием метода из [6]. Этот метод ещё называют square-атака [5] или saturation-атака [7] (метод квадрата и метод статистического насыщения). Он аналогичен по схеме применения известному дифференциальному методу, также являясь атакой на основе адаптивно подобранного открытого текста [8].
Общую схему метода можно описать следующим образом. Преобразование Fk, реализуемое блочным алгоритмом шифрования и зависящее от ключа к, представляется как композиция двух отображений Fk = Fj2 о F^. Допустим, что имеется такое множество I С X блоков открытого текста, что «интеграл» ^ F^ (x) обладает определённым
xei
легко проверяемым «отличительным» свойством (например, равен нулевому ветору).
Предположим, что известны пары «открытый — шифрованный текст» (x, Fk (x)) для
всех x G I. Тогда для любого к можно определить элемент (F2) 1 (Fk (x)), который
xei
при истинном варианте k должен обладать «отличительным» свойством «интеграла».
Применению различных модификаций интегрального метода к ряду блочных шифрсистем, поиску путей развития этого метода и изучению связанных с ним характеристик посвящён ряд работ [9-12].
Интегральный метод в основном применяется к блочным алгоритмам с малым числом раундов, например к редуцированным вариантам AES [13] или Кузнечика [14], что является актуальным именно в условиях низкоресурсной криптографии.
Рассмотрим вопрос об условиях возможности применения интегрального метода к системам шифрования типа AES (алгоритмы SQUARE, Rijndael, Crypton) с четырьмя итерациями G = /4* о /3 о /2 о f1, в которой первые три итерации f1, /2, /3 обычные (но, например, в первую итерацию Rijndael мы включаем прибавление к блоку открытого текста начального ключа), а последняя итерация /4 может отличаться (например, в Rijndael она не содержит преобразования MixColumn). Схемы примения интегрального метода к перечисленным алгоритмам рассматриваются в работах [5, 15, 16].
Промежуточный блок после третьей итерации обозначим через E (x, ко) = = (E0 (x, к0) ,..., E15 (x, к0)), где к0 — ключ начального преобразования в терминах [17]. При фиксированном к0 его можно рассматривать в обозначениях [18] как вектор-функцию E (x, к0) = Ek0 (x) : Vm ^ Vm, E (x, к0) = /з ◦ /2 о /1 (x, к0).
Пусть подвектор Bi = z, i Е {0,..., 15}, принимает все возможные значения из V8, а остальные подвекторы блока данных фиксированы. Полученное множество обозначим Ii = {(B0,... , Bi-1, z, Bi+1,... , B15) : z Е V8}. Рассмотрим для каждого индекса m Е
Е {0,..., 15} при фиксированном k0 Е V128 значение интеграла Em (x, k0).
xeii
Теорема 1. В AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций для любого непустого множества J С {1 + 8s,... , 8 + 8s}, s Е {0,... , 15}, и любого множества I = {1,... , 128} \ {8/ + k : k = 1,... , 8}, / Е {0,... , 15}, для отображения E (•, k0) при фиксированном ключе k0 Е V128 в обозначениях [18] верно, что
^ Em (x, k0) = 0.
xeii
Следствие 1. В AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций для любого непустого множества J С {1 + 8s,... , 8 + 8s}, s Е {0,... , 15}, и любого множества I = {1,... , 128} \ {8/ + k : k = 1,... , 8}, / Е {0,... , 15}, для отображения E (•, k0) при фиксированном ключе k0 Е V128 в обозначениях [18] верно, что
wJ (Efco (x)) = 0 (mod 2).
Следствие 2. В условиях следствия 1 в обозначениях [19] выполняется
AJ (Efco (x)) = 0 (mod 2).
Предположим, что нам известно 256 пар открытого и шифрованного текстов (x, y), x Е Ii, y = y(x) = G(x, k0) = /4(E(x,k0),k4) = s(E(x, k0)) ф k4, где k0 —истинный ключ, а s — некоторое нелинейное преобразование, зависящее от конкретного алгоритма; ключ j-й итерации вычисляется из ключа (j — 1)-й с помощью функции —: kj = —(kj-1) —нелинейной подстановки на множестве двоичных векторов V128; k4 = = —4(k0). Требуется определить ключ четвёртой итерации k4 = (k4,0,... , k4,15). Опробование ключа будем осуществлять по байтам k4,0,... , k4,15 Е V8. Блок шифртекста разобьём на компоненты по 8 битов: y(x) = (y0(x),... , y15(x)), ym(x) Е V8. Для каждого
индекса m Е {0,... , 15} для каждого варианта k4,m вычисляем s-1 (ym(x) ф k4,m).
xeii
Если эта сумма оказывается не равной нулю, то опробуемый вариант для k4,m отбраковываем. Если в результате ключ определился неоднозначно, то алгоритм можно повторить для другого i.
Итак, пусть у нас имеется отображение G : V128 х V128 ^ V128, G = /1/2/3/4. При фиксированном k0 Е V128 отображение Gko(x) = G(x, k0) : V128 ^ V128 является биективным. Очевидно, что G(x, k0) = s о E(x, k0) ф —4(k0).
Теорема 2. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что при любом фиксированном ключе k0 Е V128 для отображения E(x,k0) = (g1(x),... ,g128(x)), где gm(x) : V128 ^ V1, m Е {1,... , 128}, существует вектор а Е V8 \ {0}, такой, что для любого (в1,... , в120) Е V120 в обозначениях [18] выполняется
"(а, (g1+8j ,...,g8+8j ))f11;;i210o I = 128 для некоторого I = {1,... , 128} \ {8j + k : k = 1,... , 8} = {i1,..., i120}.
Следствие 3. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что в условиях теоремы 2 существует непустое множество J С {1 + 8j,..., 8 + 8j}, такое, что w/ (E(x, к0)) = 128.
Следствие 4. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что в условиях теоремы 2 существует непустое множество J С {1 + 8j,..., 8 + 8j}, такое, что A^(E(x, к0)) = 0.
Нас интересует, в каком случае выполняется равенство
Int (к4,,-, j) = Е s-1(y-(x) 0 kAJ) = 0.
xeii
Очевидно, что это произойдёт, если байт ключа угадан верно.
Следствие 5. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что существуют такие x1,x2 G /¿, x1 = x2, что Vj(x1) = Vj(x2).
Теорема 3. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j для некоторого j G {0,... , 15}, является то, что отображение s является нелинейной подстановкой.
Рассмотрим мультимножество {Vj(x) : x G I^}, где (y0(x),... ,y15(x)) = G(x, к0), состоящее из 256 элементов, и его подмножество (уже не являющееся мультимножеством)
Y* = {a G V8 : |{x G 1г : у (x) = a}| = 2к - 1, к G N}.
Теорема 4. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что множество Y* не пусто.
Пусть I* —произвольное подмножество I, такое, что {yj(x) : x G I*} = Yj*. Очевидно, что
Int (k4,j, j) = Е s-1(Vj(x) 0 k4,j) = Е s-1(Vj (x) 0 k4,j). xeii xei*
Следовательно, можно модифицировать технику применения интегрального метода тем, что интеграл будет вычисляться по меньшему множеству I*.
Рассмотрим отображение
Tj(k4) = E s-1(Vj(x) 0 k4,j), Tj(k4) : V8 ^ V.
xei*
Теорема 5. Необходимым условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций получить информацию о k4,j, является то, что существует такой элемент a G V8, что Tj (a) = 0.
Теорема 6. Достаточным условием для того, чтобы интегральный метод позволял в AES-подобных схемах (SQUARE, Rijndael, Crypton) для четырёх итераций найти k4,j, является то, что существует единственный элемент в G V8, такой, что Tj (в) = 0.
В рамках исследования интегрального метода проведено 16 наборов экспериментов для редуцированного до четырёх раундов алгоритма по схеме из [20], в которых в качестве набора открытых текстов взято множество из 256 векторов /0 = (ж = (х0,... , х15) € Т128}, где х0 принимает все значения из Т8, а остальные xj• равны нулю. На фиксированных множествах из 256 ключей (к0}г, ^ € (1,... , 16}, вычислялось множество шифртекстов (у = (у0(х),... , у15(х)) = С(х, к0) : ж € /0}, а затем для заданного номера байта ] = ] (¿) для всех к4а- € V8 вычислялся интеграл
Ш;(к4а-, /0) = Е 5-1 (yj(ж) ф к4^-). Среди тех к4^-, для которых Ш;(к4^, /0) обращал-
хе1о
ся в ноль, обязательно содержится истинный байт четвёртой итерации ключа, но он далеко не всегда единственен. В каждом из наборов экспериментов для каждого ключа из (к0}4 подсчитывалось, на скольких байтах k4,j интеграл 1П;(к4а-, /0) обращался в ноль. В качестве множеств (к0} = {(кд,0,..., кд,15) € У128 : к0,г € Т/8,1 € (0,... , 15}}* брались векторы, у которых байт кд т принимал все значения из Т8 при фиксированном т = т(£) = ] (¿), а остальные байты равны нулю. Данные экспериментов сведены в таблицу, в которой приведено количество ключей из множества (кд , для которых интеграл 1п1(к4а-, /0) равен нулю на V байтах при всех V € (1,..., 7}.
t j (t) v
1 2 3 4 5 6 7
1 0 97 88 49 15 7 0 0
2 1 102 97 37 11 7 2 0
3 2 102 89 38 21 4 2 0
4 3 86 97 51 17 4 1 0
5 4 104 95 42 9 5 1 0
6 5 95 93 47 17 3 1 0
7 6 82 109 47 11 5 2 0
8 7 80 105 45 18 8 0 0
9 8 102 86 42 22 3 1 0
10 9 110 85 43 16 2 0 0
11 10 95 93 54 10 2 1 1
12 11 102 85 52 12 5 0 0
13 12 106 89 48 11 2 0 0
14 13 86 106 44 16 4 0 0
15 14 91 105 40 17 3 0 0
16 15 83 97 52 12 12 0 0
ЛИТЕРАТУРА
1. Жуков А. Е. Легковесная криптография. Ч. 1 // Вопросы кибербезопасности. 2015. №1(9). С. 26-43.
2. Жуков А. Е. Легковесная криптография. Ч. 2 // Вопросы кибербезопасности. 2015. №2(10). С. 2-10.
3. Романченко А. М. Метод оценивания результатов криптоанализа блочного шифра // Труды СПИИРАН. 2015. №2(39). С. 101-108.
4. Hu Y., Zhang Y, and Xiao G. Integral cryptanalysis of SAFER+ // IET Electronics Let. 1999. V. 35. No. 17. P. 1458-1459.
5. Daemen J., Knudsen L. R., and Rijmen V. The block cipher Square // LNCS. 2002. V. 2365. P. 112-127.
6. Lai X. Higher order derivatives and differential cryptanalysis // Communications and Cryptography. Springer Intern. Ser. Engin. Comput. Sci. 1994. V. 276. P. 227-233.
7. Collard B. and Standaert F.-X. A statistical saturation attack against the block cipher PRESENT // LNCS. 2009. V. 5473. P. 195-210.
8. Шнайер Б. Прикладная криптография: протоколы, алгоритмы и исходный код. М.: Альфа-книга, 2019. 1024с.
9. Aldа F., Aragona R., Nicolodi L., and Sala M. Implementation and improvement of the partial sum attack on 6-round AES // Physical and Data-Link Security Techniques for Future Communication Systems. Lecture Notes in Electr. Eng. 2016. V. 358. P. 181-195.
10. Сорокин М. А., Пудовкина М. А. О почти совершенных нелинейных преобразованиях и разделяющем свойстве мультимножеств // Прикладная дискретная математика. Приложение. 2019. №12. С. 237-239.
11. ElSheikh M. and Youssef A. M. Integral cryptanalysis of reduced-round tweakable TWINE // LNCS. 2020. V. 12579. P. 485-504.
12. Hebborn P., Lambin B., Leander G., and Todo Y. Strong and tight security guarantees against integral distinguishers // LNCS. 2021. V. 13090. P. 362-391.
13. Knudsen L. R. and Wagner D. Integral cryptanalysis (extended abstract) // LNCS. 2002. V. 2365. P. 112-127.
14. Kiryukhin V. A. Related-key attack on 5-round Kuznyechik // Математические вопросы криптографии. 2020. Т. 11. №2. С. 53-67.
15. Ferguson N., Kelsey J., Schneier B., et al. Improved cryptanalysis of Rijndael // LNCS. 2000. V. 1978. P. 213-230.
16. D'Halluin C., Bijnens G., Rijmen V., and Preneel B. Attack on six rounds of Crypton // LNCS. 1999. V. 1636. P. 46-59.
17. Лось А. Б., Нестеренко А. Ю., Рожков М. И. Криптографические методы защиты информации. М.: Юрайт, 2018, 473 с.
18. Панков К. Н. Оценки скорости сходимости в предельных теоремах для совместных распределений части характеристик случайных двоичных отображений // Прикладная дискретная математика. 2012. №4(18). C. 14-30.
19. Панков К. Н. Уточнённые асимптотические оценки для числа (n, m, к)-устойчивых двоичных отображений // Прикладная дискретная математика. Приложение. 2017. №10. C. 46-49.
20. Бабенко Л. К., Ищукова Е. А. Современные алгоритмы блочного шифрования и методы их анализа. М.: Гелиос АРВ, 2006. 376с.
УДК 519.7 + 004.056.55 DOI 10.17223/2226308X/15/16
СВОЙСТВА XS-СХЕМ, СВЯЗАННЫЕ С ГАРАНТИРОВАННЫМ
ЧИСЛОМ АКТИВАЦИЙ1
Д. Р. Парфенов, А. О. Бахарев, А. В. Куценко, А. Р. Белов, Н.Д. Атутова
Гарантированное число активаций является важной криптографической характеристикой, позволяющей получить оценку стойкости блочного шифра к разностному криптоанализу. В работе исследован один из алгоритмов (Агиевич, 2020) поиска числа гарантированных активаций XS-схем. Предложен подход к оптимизации существующего решения с помощью метода ветвей и границ, а также анализа специальных матриц, характеризующих XS-схему. Для нескольких шифров проведены вычислительные эксперименты, которые демонстрируют существенное
1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования РФ №075-15-2022-281.